Honeypot

Was ist ein Honeypot?

Eine Redewendung besagt, dass man M├Ąuse am besten mit Speck f├Ąngt. Diese Redewendung l├Ąsst sich auch auf sogenannte “Honeypots” ├╝bertragen. In einem Honeypot werden jedoch keine M├Ąuse in die Falle gelockt, sondern Cracker, Hacker und andere Cyberkriminelle, die Angriffe auf Computersysteme durchf├╝hren. Ein Honeypot stellt somit eine Art Sicherheitssystem f├╝r Computernetzwerke dar und wird in unterschiedlichen Varianten und Ausf├╝hrungen eingesetzt.

Honeypots werden in erster Linie eingesetzt, um die Sicherheit von Computernetzwerken zu erh├Âhen. In diesem Kontext kommen unterschiedliche Techniken zum Einsatz. Neben Honeypots, die das Verhalten eines Nutzers simulieren, kommen auch vorwiegend Honeypots zum Einsatz, die ganze Computernetzwerke oder bestimmte Dienste eines Computernetzwerks nachahmen. Dabei werden sie unabh├Ąngig von dem realen Netzwerk betrieben. Bereits bekannte Sicherheitsl├╝cken im System werden absichtlich offengelassen, um Cyberkriminellen eine m├Âglichst breite Fl├Ąche f├╝r Angriffe zu bieten. Honeypots werden somit prim├Ąr als Ablenkung eingesetzt, um das Verhalten von Hackern, Crackern und Cyberkriminellen zu studieren und zu speichern.

Das Hauptziel┬áist, wichtige Informationen ├╝ber potenzielle Angriffsmuster zu sammeln. Wenn ein Hacker den Honeypot angreift, speichert dieser alle Aktionen des Angreifers, damit die Administratoren diese sp├Ąter auswerten k├Ânnen. Im Idealfall k├Ânnen diese Daten genutzt werden, um potenzielle Schwachstellen im realen Netzwerk zu entdecken und dieses gegen Hacker-Angriffe noch sicherer zu machen.

Prinzipien

Honeypots existieren in unterschiedlichen Varianten. In vielen F├Ąllen wird ein virtuelles Netzwerk erstellt, das sich von einem realen Netzwerk in keiner Weise unterscheidet. Charakteristisch f├╝r ein pr├Ąpariertes Netzwerk ist, dass virtuelle Rechner und gef├Ąlschte Daten absichtlich von Admins so konfigurierte werden, dass diese f├╝r potenzielle Angreifer einen Nutzen haben. Damit wird dem Hacker suggeriert, dass in dem Honeypot Daten und Ressourcen vorhanden sind, die er f├╝r kriminelle Zwecke missbrauchen kann. Wenn der Angreifer in das Netzwerk eindringt, sieht er jedoch nur das, was der Administrator┬áihn sehen lassen m├Âchte und er eigentlich keinen Schaden verursachen kann.

Tipp

Wenn Sie noch Fragen bez├╝glich dem Administrator haben, dann k├Ânnen Sie gerne den jeweiligen Glossar dazu besuchen und sich ├╝ber das Thema informieren.

Ein Honeypot wird in der Regel auf einem externen Server eingerichtet, wobei ein Fake-Netzwerk selbstverst├Ąndlich auch virtuell auf einem System erstellt werden kann. Das Honeypot-Netzwerk wird durch spezielle Mechanismen vom realen Netzwerk getrennt, sodass der Angreifer nur das gef├Ąlschte Netzwerk wahrnehmen soll. Der wesentliche Vorteil┬ábesteht in der Tatsache, dass alle Aktionen des Hackers aufgezeichnet werden, wodurch eine genaue Analyse des Angriffs erm├Âglicht wird. Die auf diese Weise gewonnenen Informationen k├Ânnen dann genutzt werden, um das reale Netzwerk vor Angriffen sicherer zu machen.

Die unterschiedlichen Arten

Honeypots werden grunds├Ątzlich in zwei unterschiedliche Klassen eingeteilt, und zwar

  • Low-Interaction Honeypots
  • High-Interaction Honeypots

Bei einem Low-Interaction Honeypot handelt es sich in vielen F├Ąllen um ein Programm, welches dazu eingesetzt wird, um einen oder mehrere Dienste zu emulieren. Der Informationsgewinn bei einem Low-Interaction Honeypot ist deswegen sehr beschr├Ąnkt. Diese Honeypot-Variante kommt in erster Linie beim Sammeln statistischer Informationen zum Einsatz. Ein erfahrener Angreifer, hat in der Regel keine allzu gro├čen Probleme, um diese Variante zu erkennen. Um automatisierte Cyberangriffe wie beispielsweise Botnetze aufzeichnen und analysieren zu k├Ânnen, reicht ein Low-Interaction Honeypot allerdings vollkommen aus. Einige Beispiele f├╝r LI-Honeypots sind honeyd, mwcollected, Nepenthes sowie Amun.

High-Interaction Honeypots zeichnen sich dadurch aus, dass sie zumeist vollst├Ąndige Server sind, die unterschiedliche Dienste anbieten. Sie sind komplizierter einzurichten und zu administrieren als die Low-Interaction-Variante. Der Schwerpunkt bei dieser Art von Honeypots liegt nicht auf automatisierten Cyberangriffen, sondern zielt darauf aus, manuelle Cyberangriffe zu beobachten und aufzuzeichnen, um so neue Exploits und Vorgehensweisen der Hacker m├Âglichst fr├╝h zu erkennen. Aus diesem Grund werden High-Interaction Honeypots als besonders lohnende Angriffsziele angegeben, die f├╝r den Angreifer einen hohen Wert haben.

Vor- und Nachteile

Der Einsatz eines Honeypots bringt zahlreiche Vorteile und einige Nachteile mit sich. Auf der einen Seite lassen sich durch die Anwendung eines Honeypots wichtige R├╝ckschl├╝sse auf Sicherheitsl├╝cken im Netzwerk ziehen. Auf der anderen Seite muss der Honeypot von den Hackern in den Weiten des World Wide Web erst einmal ausfindig gemacht werden. Folgende Vor- und Nachteile haben Honeypots:

Pro
  • Ablenkung der Angreifer von dem realen Netzwerk
  • Sammeln von Informationen ├╝ber neue
  • Angriffsmethoden
  • Neue Erkenntnisse durch die Analyse der Angriffsmethoden
  • Angriffe k├Ânnen r├╝ckverfolgt werden
Contra
  • Wenn Honeypots nicht ausreichend isoliert sind, k├Ânnen sich Angriffe auf produktive Systeme ausweiten
  • ├ťberwachung und Analyse ist mit einem gro├čen Aufwand verbunden
  • Angreifer k├Ânnen angelockt werden, die anschlie├čend versuchen, in die produktiven Systeme einzudringen.

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte